Topologia e connettività di rete per la soluzione Azure VMware

  • Articolo

Quando si usa un data center software-defined (SDDC) VMware con un ecosistema cloud di Azure, è disponibile un set univoco di considerazioni di progettazione da seguire per scenari nativi del cloud e ibridi. Questo articolo fornisce considerazioni chiave e procedure consigliate per la rete e la connettività da e verso le distribuzioni di Azure e soluzione Azure VMware.

L'articolo si basa su principi dell'architettura delle zone di destinazione su scala aziendale di Cloud Adoption Framework e sulle raccomandazioni per la gestione della topologia di rete e della connettività su larga scala. È possibile usare queste linee guida per l'area di progettazione della zona di destinazione di Azure per piattaforme di soluzione Azure VMware cruciali. Le aree di progettazione includono:

  • Integrazione ibrida per la connettività tra utenti locali, multi-cloud, della rete perimetrale e globali. Per altre informazioni, vedere Supporto di livello aziendale per ambienti ibridi e multi-cloud.
  • Prestazioni e affidabilità su larga scala per la scalabilità del carico di lavoro e un'esperienza di bassa latenza coerente e coerente. Un articolo successivo illustra le distribuzioni in due regioni.
  • Sicurezza di rete basata su zero attendibilità per la sicurezza del flusso di traffico e del perimetro di rete. Per altre informazioni, vedere Strategie per la sicurezza della rete in Azure.
  • Estendibilità per semplificare l'espansione dei footprint di rete senza la necessità di rielaborare la progettazione.

Considerazioni e raccomandazioni generali sulla progettazione

Le sezioni seguenti forniscono considerazioni generali sulla progettazione e consigli per soluzione Azure VMware topologia di rete e connettività.

Confronto tra topologia di rete hub-spoke e di rete WAN virtuale

Se non si ha una connessione ExpressRoute dall'ambiente locale ad Azure e si usa la VPN da sito a sito, è possibile usare rete WAN virtuale per transitare la connettività tra la VPN locale e l'soluzione Azure VMware ExpressRoute. Se si usa una topologia hub-spoke, è necessario il server di route di Azure. Per altre informazioni, vedere Supporto del server di route di Azure per ExpressRoute e VPN di Azure.

Cloud privati e cluster

  • Tutti i cluster possono comunicare all'interno di un cloud privato soluzione Azure VMware perché condividono tutti lo stesso spazio di indirizzi /22.

  • Tutti i cluster condividono le stesse impostazioni di connettività, tra cui Internet, ExpressRoute, HCX, IP pubblico e Copertura globale di ExpressRoute. I carichi di lavoro delle applicazioni possono anche condividere alcune impostazioni di rete di base, ad esempio segmenti di rete, dhcp (Dynamic Host Configuration Protocol) e impostazioni DNS (Domain Name System).

  • Progettare in anticipo cloud privati e cluster prima della distribuzione. Il numero di cloud privati necessari influisce direttamente sui requisiti di rete. Ogni cloud privato richiede il proprio spazio indirizzi /22 per la gestione del cloud privato e il segmento di indirizzi IP per i carichi di lavoro delle macchine virtuali. Valutare l'opportunità di definire in anticipo tali spazi indirizzi.

  • Discutere con i team di rete e VMware su come segmentare e distribuire i cloud privati, i cluster e i segmenti di rete per i carichi di lavoro. Pianificare bene ed evitare di sprecare indirizzi IP.

Per altre informazioni sulla gestione degli indirizzi IP per i cloud privati, vedere Definire il segmento di indirizzi IP per la gestione del cloud privato.

Per altre informazioni sulla gestione degli indirizzi IP per i carichi di lavoro delle macchine virtuali, vedere Definire il segmento di indirizzi IP per i carichi di lavoro delle macchine virtuali.

DNS e DHCP

Per DHCP, usare il servizio DHCP incorporato in NSX-T Data Center o usare un server DHCP locale in un cloud privato. Non instradare il traffico DHCP trasmesso tramite la rete WAN alle reti locali.

Per DNS, a seconda dello scenario adottato e dei requisiti, sono disponibili più opzioni:

  • Solo per un ambiente soluzione Azure VMware, è possibile distribuire una nuova infrastruttura DNS nel cloud privato soluzione Azure VMware.
  • Per soluzione Azure VMware connessi a un ambiente locale, è possibile usare l'infrastruttura DNS esistente. Se necessario, distribuire i server d'inoltro DNS da estendere nella rete virtuale di Azure o, preferibilmente, nella soluzione Azure VMware. Per altre informazioni, vedere l'articolo su come aggiungere un servizio del server di inoltro DNS.
  • Per soluzione Azure VMware connessi a ambienti e servizi locali e di Azure, è possibile usare server DNS o server d'inoltro DNS esistenti nella rete virtuale hub, se disponibile. È anche possibile estendere l'infrastruttura DNS locale esistente alla rete virtuale dell'hub di Azure. Per informazioni dettagliate, vedere il diagramma delle zone di destinazione su scala aziendale.

Per altre informazioni, vedere gli articoli seguenti:

Internet

Le opzioni in uscita per abilitare Internet e filtrare e controllare il traffico includono:

  • Azure Rete virtuale, appliance virtuale di rete e server di route di Azure usando l'accesso a Internet di Azure.
  • Route predefinita locale con accesso a Internet locale.
  • rete WAN virtuale hub protetto con Firewall di Azure o appliance virtuale di rete usando l'accesso a Internet di Azure.

Le opzioni in ingresso per la distribuzione di contenuti e applicazioni includono:

  • app Azure lication Gateway con terminazione L7, Secure Sockets Layer (SSL) e Web Application Firewall.
  • DNAT e bilanciamento del carico dall'ambiente locale.
  • Azure Rete virtuale, appliance virtuale di rete e server di route di Azure in vari scenari.
  • rete WAN virtuale hub protetto con Firewall di Azure, con L4 e DNAT.
  • rete WAN virtuale hub protetto con appliance virtuali di rete in vari scenari.

ExpressRoute

Il soluzione Azure VMware distribuzione predefinita del cloud privato crea automaticamente un circuito ExpressRoute gratuito di 10 Gbps. Questo circuito consente di connettere la soluzione Azure VMware a D-MSEE.

Valutare la possibilità di distribuire soluzione Azure VMware in aree abbinate di Azure nei data center. Vedere questo articolo per consigli sulle topologie di rete a due regioni per soluzione Azure VMware.

Copertura globale

  • Copertura globale è un componente aggiuntivo di ExpressRoute necessario per consentire alla soluzione Azure VMware di comunicare con i data center locali, Rete virtuale di Azure e la rete WAN virtuale. L'alternativa consiste nel progettare la connettività di rete con Server di route Azure.

  • È possibile eseguire il peering del circuito ExpressRoute della soluzione Azure VMware con altri circuiti ExpressRoute usando Copertura globale senza alcun addebito.

  • È possibile usare Copertura globale per il peering di circuiti ExpressRoute tramite un ISP e per i circuiti ExpressRoute Direct.

  • Copertura globale non è supportato per i circuiti ExpressRoute Local. Per ExpressRoute Local passare dalla soluzione Azure VMware a data center locali tramite appliance virtuali di rete di terze parti in una rete virtuale di Azure.

  • Copertura globale non è disponibile in tutte le località.

Larghezza di banda

Scegliere uno SKU del gateway di rete virtuale appropriato per una larghezza di banda ottimale tra soluzione Azure VMware e Azure Rete virtuale. soluzione Azure VMware supporta un massimo di quattro circuiti ExpressRoute in un gateway ExpressRoute in un'area.

Sicurezza di rete

La sicurezza di rete comporta l'ispezione del traffico e il mirroring delle porte.

L'ispezione del traffico east-west all'interno di un data center SDDC usa il data center NSX-T o le appliance virtuali di rete per controllare il traffico verso Azure Rete virtuale tra aree.

Per l'ispezione del traffico da nord a sud viene ispezionato il flusso di traffico bidirezionale tra la soluzione Azure VMware e i data center. Per l'ispezione del traffico da nord a sud è possibile usare:

  • Un'appliance virtuale di rete del firewall di terze parti e un server di route di Azure tramite Internet di Azure.
  • Route predefinita locale su Internet locale.
  • Firewall di Azure e rete WAN virtuale tramite Internet di Azure
  • Data center NSX-T all'interno di SDDC tramite soluzione Azure VMware Internet.
  • Un'appliance virtuale di rete del firewall di terze parti in soluzione Azure VMware all'interno di SDDC tramite soluzione Azure VMware Internet

Porte e requisiti del protocollo

Configurare tutte le porte necessarie per un firewall locale per garantire l'accesso appropriato a tutti i componenti del cloud privato soluzione Azure VMware. Per altre informazioni, vedere la sezione Porte di rete necessarie.

Accesso alla gestione della soluzione Azure VMware

  • È consigliabile usare un host Azure Bastion in Azure Rete virtuale per accedere all'ambiente soluzione Azure VMware durante la distribuzione.

  • Dopo aver stabilito il routing all'ambiente locale, soluzione Azure VMware rete di gestione non rispetta le 0.0.0.0/0 route dalle reti locali, quindi è necessario annunciare route più specifiche per le reti locali.

Continuità aziendale, ripristino di emergenza (BCDR) e migrazioni

  • Nelle migrazioni di VMware HCX il gateway predefinito rimane locale. Per altre informazioni, vedere Distribuire e configurare VMware HCX.

  • Le migrazioni di VMware HCX possono usare l'estensione HCX L2. Anche le migrazioni che richiedono l'estensione di livello 2 richiedono ExpressRoute. La VPN da sito a sito è supportata purché i requisiti minimi minimi di rete siano netti. Per gestire il sovraccarico di HCX, le dimensioni massime dell'unità di trasmissione (MTU) devono essere impostate su 1350. Per altre informazioni sulla progettazione dell'estensione di livello 2, vedere l'articolo sul bridging di livello 2 in modalità di gestione (VMware.com).

Passaggi successivi